El correo aparentemente lo remite Servicios@PremiosBBVA.net (basta hacer un replay para comprobar que el dominio PremiosBBVA.net no existe), y él se nos informa de que hemos recibido un premio a la fidelidad.
El texto dice (lo tecleo para que quede indexado el contenido por los buscadores):
Estimado cliente,
BBVA concede un premio tu cuenta con un bono de fidelidad.
A fin de recibir el bono es necesario leer servicios en línea en las próximas 72 horas cuando usted recibió el correo electrónico.
Bono será acreditada directamente a la cuenta en las próximas 72 horas
Conectarse a servicios en línea para la acreditación
Vamos a analizarlo por partes:
- Si comprobamos las cabeceras del e-mail se ve que el correo originalmente procede de la IP 70.38.123.116 localizada en Canadá.
- Si analizando el texto vemos que hay muchas y graves faltas de ortografía y se ve claramente que no lo ha escrito una persona que no domina el español pues falla en el uso de los signos de puntuación, las preposiciones y la flexión verbal, tres quebraderos de cabeza para los estudiantes del español.
Con todo esto tenemos ya mucha información importante para afirmar que es una estafa: el correo remitente no existe, el correo no ha partido del BBVA sino de una web de Canadá y nadie en el BBVA hubiese autorizado un correo a clientes tan mal escrito.
Pasamos a analizar cómo se ha construido el mensaje-trampa. El correo está compuesto por:
- Una imagen (con el fin de evitar los filtros de phising y además conocer el número y localización de lecturas del e-mail del phising) que está alojada en http://81.171.121.45/.poza/pre.PNG (La IP 81.171.121.45 está localizada en Holanda, según Machine IP, tiene instalado Apache/2.0.54 con Debian GNU/Linux y PHP/5.2.1-0.dotdeb.1 with Suhosin-Patch Server donde se subió la imagen el mismo 23 de julio de 2010 y el nombre del servidor es web00.telinco.be). El servidor tiene una instalación Apache completa aunque protegida y por ello al intentar acceder al manual de APACHE que debería estar en http://81.171.121.45/manual/index.html recibimos el mensaje "You don't have permission to access /manual/index.html on this server" ... ¿y si probamos http://81.171.121.45/index.htm? ... pues nos contesta "Not Found The requested URL /index.htm was not found on this server." ... y como dice el gran Chema si algo nos da respuestas diferentes a preguntas diferentes, siempre podremos obtener información.
- Sobre la imagen hay mapeado el hiperenlace (QUE NUNCA HAY QUE SEGUIR) que nos va a llevar a la web trampa que simula la web del BBV y que está en la URL http://www.redirectbb.1meds.org/en/009.php (http://www.1meds.org/ es el dominio de una e-farmacia y la IP es 69.42.173.7) que redirecciona con un Apache/2.2.3 con CentOS a la URL http://www.bbvanetoffice.romale.sk/local_bdno/bbx/index.html cuya IP es lógicamente la misma 69.42.173.7 que está alojada en en Estados Unidos.
Esta redirección sirve para ir cambiando la URL, y así intentar saltarse los sistemas de antiphising basados en listas negras de URL. Y así en pocas horas cambió a http://www.bbvanetoffice.premios.atcoe.com/local_bdno/bbx/index.html (http://www.atcoe.com/ es el dominio de otra e-farmacia)
Otros muchos dominios como http://telebfax.com/ están redireccionados a esta IP que muestra en el home una pantalla de logon ¿mantenimiento? http://www.redirectbb.1meds.org:80/logon.php?acao=logar
Mucha inforamción sobre servidores y dominios la proporciona Netcraft
El dominio romale.sk pertenece segun Domain Tool a Eslovaquia y está registrado por BOXN-0001 (Box Network s.r.o., 36195618, Komenskeho 41, Kosice 04001, 0905 942 606, 0905 942 606) o no, pues tampoco los datos de registro de un dominio son de fiar.
Con Firefox, que es mas bueno de lo que muchos piensan la web aparece bloqueada "POR PHISING"
Con otros navegadores vemos la web sin problemas
Que se parece un poco a la original https://www.bbvanetoffice.com/local_bdno/login_bbvanetoffice.html
pero solamente un poco. Fíjese que la web original tiene un certificado válido y cifra con https el tráfico, que no es una garantía absoluta, pero en caso de que una web no cifre los datos si que es una clara evidencia de que se trata de una web nada fiable.
Pero bueno vamos a probar, por su puesto con números y datos aleatorios. En principio dado el sistema de comprobación de la tarjeta de coordenadas del BBVA parece que no tiene mucho futuro el PHISING, pero los malos no son tontos, y así la web nos lleva a la URL a http://www.bbvanetoffice.romale.sk/local_bdno/bbx1/index.html que nos ofrecen un correo seguro para evitar el PHISING ... una forma de ganarse la confianza de la víctima ... hay mucho malo suelto que quiere tangar, menos mal que hay malos buenos que nos previenen de los malos malos ...
Un nuevo ACEPTAR nos lleva a una página web que nos piden todos los datos de la tarjeta de crédito y del DNI ... ¿Pero no era un ingreso en cuenta lo que nos había tocado?
... nos van a freir la tarjeta de crédito antes de que le demos al INTRO
Y hasta aquí la e-estafa ... y una pequeña enseñanza final ... "De poco vale securizar una web si lo que hacen los cacos es estafar en nuestro nombre" ... ya sea con un XSS (Cross Site Scripting) o un Phising
¿Por qué desde mi ordenador no visualizó las webs falsas? ... si usas un DNS con filtrado como OpenDNS directamente le bloqueará estas webs falsas. Para ver si esta explicación es válida, todo lo que dice hay que demostrarlo, basta con que intenta acceder a ellas mediante un PROXY WEB como Anonymouse
o una red paralela como CoralDNS
¿Por qué este ensañamiento de los delincuentes con el BBVA? ... pues es sencillo, al ser uno de los mayores bancos españoles, el número de clientes también es uno de los mayores y por lo tanto la probabilidad de que quien recibe el e-mail sea un cliente del BBVA es mucho mayor y con ello la probabilidad de conseguir llevar la estafa a buen fin ... "no es un tema personal, es un de rentabilidad".
No hay comentarios:
Publicar un comentario